Một vé xác thực là một thành phần bảo mật của giao thức bảo mật mạng Kerberos.Nó hoạt động như một thứ gì đó của mã thông báo, một bộ sưu tập dữ liệu nhỏ, được truyền giữa máy khách và máy chủ, để hai máy tính có thể chứng minh danh tính với nhau.Ngoài nhận dạng mạng lẫn nhau này, vé còn chi tiết bất kỳ quyền nào mà khách hàng có để truy cập máy chủ và các dịch vụ của nó, cũng như thời gian được phân bổ cho phiên. Về cơ bản có hai loại vé xác thực.Một vé cấp vé (TGT), còn được gọi là vé để nhận vé, là vé chính được phát hành khi máy tính máy khách lần đầu tiên thiết lập danh tính của nó.Loại vé này thường kéo dài trong một thời gian dài, lên tới 10 giờ trở lên và có thể được gia hạn bất cứ lúc nào trong khoảng thời gian người dùng được đăng nhập vào mạng.Với TGT, người dùng có thể yêu cầu vé xác thực riêng lẻ để truy cập các máy chủ khác trên mạng.Một vé máy khách đến máy chủ, còn được gọi là vé phiên, là hình thức thứ hai của vé xác thực.Đây thường là một vé tồn tại trong thời gian ngắn được truyền lại khi khách hàng muốn truy cập dịch vụ trên một máy chủ cụ thể.Vé phiên chứa địa chỉ mạng máy tính máy khách, thông tin người dùng và thời lượng trong đó vé hợp lệ.Trong một số triển khai Kerberos, chẳng hạn như microsofts reg;Active Directory reg ;, một loại vé thứ ba, được gọi là vé giới thiệu, cũng có thể được sử dụng.Loại vé này được cấp khi khách hàng muốn truy cập một máy chủ nằm trên một miền tách biệt với chính nó. Cách thức hoạt động của hệ thống cấp vé Kerberos là thông qua việc sử dụng một máy chủ riêng biệt, được gọi là Trung tâm phân phối chính (KDC), điều đó cung cấp toàn bộ hệ thống vé xác thực.Máy này có hai thành phần phụ chạy, đầu tiên được gọi là máy chủ xác thực (AS).Như đã biết về tất cả các máy tính và người dùng khác trên mạng và giữ cơ sở dữ liệu mật khẩu của họ.Khi người dùng đăng nhập vào mạng, càng cho anh ta một Tgt. Tại điểm mà người dùng cần truy cập một máy chủ ở đâu đó trên mạng, anh ta sử dụng TGT được đưa ra trước đó và yêu cầu một vé dịch vụ từ phần thứ hai củaKDC, được gọi là Máy chủ cấp vé (TGS).TGS gửi vé phiên trở lại cho người dùng, sau đó người có thể sử dụng nó để truy cập máy chủ mà anh ta yêu cầu.Khi máy chủ nhận được vé phiên, nó sẽ gửi lại một tin nhắn khác cho người dùng xác minh danh tính của nó và người dùng được phép truy cập dịch vụ được yêu cầu.Trong trường hợp vé giới thiệu, cần có thêm một bước trong đó KDC của miền Home thay vào đó tạo một vé giới thiệu cho phép khách hàng yêu cầu vé phiên từ một KDC khác trên một miền mạng khác.Toàn bộ quá trình tạo và chia sẻ vé này được mã hóa ở mỗi bước trên đường để bảo vệ chống lại kẻ tấn công nghe lén hoặc giả dạng người dùng. Hạn chế chính đối với phương thức vé xác thực là cấu trúc tập trung của tất cả các ủy quyền.Nếu kẻ tấn công quản lý để có quyền truy cập vào KDC, về cơ bản anh ta có quyền truy cập vào tất cả các danh tính và mật khẩu người dùng và sau đó có thể mạo danh bất cứ ai.Hơn nữa, nếu KDC không có sẵn, không ai có thể sử dụng mạng.Một vấn đề khác là các vòng đời chi tiết của vé, yêu cầu tất cả các máy tính trên mạng đều có đồng hồ được đồng bộ hóa.